Sophos-Hinweis zum Kernel-Speicherproblem, das mehrere Betriebssysteme betrifft (Sicherheitslücke Meltdown & Spectre)

(Sophos - Aktueller Stand vom 08.01.2018 - 15:10 Uhr)

Überblick

Dieser Artikel beschreibt die Auswirkungen der in den Medien diskutierten Probleme mit der Sicherheitslücke (bekannt als Meltdown & Spectre) für Sophos-Kunden.

Folgende Themen werden behandelt:

  • Technische Besonderheiten des Problems
  • Auswirkung auf Sophos-Kunden
    • Sophos Endpoint-Kunden
    • Überprüfen Sie, ob Sie das Sophos Update erhalten haben
    • Sophos Network-Kunden
  • Sophos Schutz vor Meltdown- und Spectre-Exploits


Technische Besonderheiten des Problems

Die Sicherheitslücke betrifft ein Kernel-Speicherleck, das unter Namen wie KPTI, KAISER und F ** CKWIT bekannt ist. Darüber hinaus enthält eine neue, am 03. Januar 2018 veröffentlichte Studie Details zu Exploits, die diese Schwachstelle nutzen – Meltdown und Spectre. Wir begleiteten die Themen auch in unserem Blog.

  • Für Microsoft-Produkte werden die Sicherheitslücken mithilfe von Patches behoben, die von Microsoft am 3. Januar 2018 vorzeitig veröffentlicht wurden, siehe Sicherheitshinweis ADV180002 für Details.
  • Für Apple-Produkte siehe folgende Erklärung in unserem Blog.
  • Patches sind für Linux-Systeme verfügbar. Wir empfehlen Ihnen, sich an Ihren Linux-Kernel-Hersteller zu wenden, um weitere Informationen zu erhalten.

Auswirkung auf Sophos-Kunden

Sophos Endpoint-Kunden

Am 3. Januar 2018 veröffentlichte Microsoft eine Sicherheitsempfehlung (ADV180002), die Hinweise zu dieser Sicherheitslücke und Links zu Sicherheitsupdates enthält.
Der Microsoft-Artikel rät Ihnen, sich an Ihren Antivirus-Hersteller zu wenden, um zu bestätigen, dass Ihre Software mit dem Patch kompatibel ist, und legt auch einen bestimmten Registrierungsschlüssel fest.

Sophos hat das Testen des Patches und des Registrierungsschlüssels abgeschlossen und kann bestätigen, dass keine Kompatibilitätsprobleme aufgetreten sind. Sie werden ab dem 5. Januar 2018 automatisch den Registrierungsschlüssel in Updates für die folgenden Sophos Endpoint / Server-Produkte hinzufügen:

  • Sophos Central Endpoints/Servers
  • Sophos Enterprise Console Endpoints/Servers
    • Preview subscription
    • Recommended subscription
    • Previous Recommended subscription
  • Sophos Endpoint Standalone
  • Sophos Virtual Environment (SVE)
  • UTM Managed Endpoints
  • Sophos Home


WICHTIG: Für Serverbetriebssysteme gibt Microsoft an: "Kunden müssen Schutzmaßnahmen aktivieren, um sich vor spekulativen Sicherheitslücken zu schützen". Um die Schutzmaßnahmen nutzen zu können, müssen Microsoft-Kunden drei zusätzliche Registrierungsschlüssel  aktivieren, diese können zu Leistungsproblemen führen und werden nicht von den Antivirus-Anbietern eingestellt. Weitere Informationen finden Sie im Leitfaden zum Schutz vor Sicherheitsrisiken durch Seitenkanalangriffe mit spekulativer Ausführung bei Windows-Servern

HINWEIS: Für Sophos Central-Kunden, die derzeit im Early Access Program (EAP) registriert sind, lesen Sie bitte diesen Artikel: Meltdown und Spectre – Sicherheitslücken in Zusammenhang mit Intercept X Early Access Program

Für Kunden, die nur Sophos Intercept X und / oder Sophos Device Encryption (z.B. ohne Sophos Antivirus) neben einem Antivirus-Produkt eines Drittanbieters verwenden: Bitte wenden Sie sich an diesen Antivirus-Hersteller, um die Kompatibilität mit dem Microsoft-Patch zu überprüfen und zu klären, ob sie den erforderlichen Registrierungsschlüssel eingesetzt haben.

So prüfen Sie, ob Sie das Sophos Update erhalten haben

Für Kunden, die sichergehen möchten, dass das Sophos-Update angewendet wurde, lesen Sie bitte diesen Artikel:
Kernel-Speicherproblem, das sich auf mehrere Betriebssysteme auswirkt: Wie Sie bestätigen, dass Sie das Sophos-Update haben.

Sophos Central-Kunden, die kontrollierte Updates verwenden, erhalten das Sophos-Update, das den Registrierungsschlüssel automatisch einfügt, nicht. Wenn Sie den Microsoft Patch mit Windows Update benötigen, können Sie die automatische Aktualisierung durchführen, um das Sophos Update für den Registrierungsschlüssels zu erhalten, oder den Registrierungsschlüssel manuell über Ihre eigene Methode (z. B. GPO, Script, Regedit) anwenden.

Sophos Enterprise Control (SEC)-Kunden, die Fixed Extended Subscriptions verwenden, erhalten das Sophos Update nicht, das den Registrierungsschlüssel automatisch festlegt. Wenn Sie den Microsoft Patch mit Windows Update benötigen, können Sie zu einer Subscription wechseln, die das Update enthält, oder den Registrierungsschlüssel manuell über Ihre eigene Methode (z. B. GPO, Script, Regedit) anwenden.

HINWEIS: Sophos hat die Kompatibilität ihrer Produkte mit dem Microsoft-Patch getestet. Sie führen jedoch möglicherweise Software von Drittanbietern aus, die nicht mit dem Patch kompatibel ist. Wir empfehlen Ihnen, sich an Ihre Drittanbieter zu wenden, um ihre Kompatibilität zu bestätigen.

Kunden, die den Patch jetzt vor dem Sophos Update installieren möchten, können den Registrierungsschlüssel manuell einstellen, wie im Microsoft-Artikel beschrieben: ADV180002. Alternativ können Sie den Patch ohne den Registrierungsschlüssel manuell herunterladen und anwenden.

Bitte beachten Sie, dass Microsoft erklärt, dass "Sie möglicherweise auch Firmware-Updates von Ihrem Gerätehersteller installieren müssen, um einen erhöhten Schutz zu erhalten. Fragen Sie Ihren Gerätehersteller nach relevanten Updates."  Weitere Informationen finden Sie im Microsoft-Artikel: Leitfaden für IT-Experten zum Schutz vor Sicherheitsrisiken durch Seitenkanalangriffe mit spekulativer Ausführung bei Windows-Clients:

Wir empfehlen, dass Sie alle Firmware-Updates testen, bevor Sie sie in Ihrer Live-Umgebung bereitstellen.

Sophos Network-Kunden

Sophos prüft derzeit die Kernel-Updates für Linux und andere Betriebssysteme, die die Grundlage für die Firmware ihrer Netzwerksicherheitsprodukte bilden. Sophos stellt den neuesten Versionen der unten aufgeführten Netzwerksicherheitsprodukte die erforderlichen Korrekturen (aktualisierte Firmware oder gleichwertige Images usw.) zur Verfügung:

    Sophos Firewall OS (XG Firewall) 16.5 und 17
    UTM (SG-Serie) 9.5
    Sophos Firewall Manager (SFM) 16.5
    Cyberoam OS 10.6.6
    Sophos Web Appliance (SWA) 4.3.4
    Cyberoam Central Console 02.04.0 Build 249
    Cyberoam iView 0.1.2.8
    Sophos iView 3.0.1.1

Sophos empfiehlt dringend, dass Sie, wenn Sie eine frühere Version von Sophos Firewall OS, UTM oder Cyberoam OS ausführen, auf die neueste Version von Sophos Firewall OS updaten sollten. Wenden Sie für alle Sophos Netzwerksicherheitsprodukte die neuesten Wartungsversionen an, sobald diese verfügbar sind.

Hinweis: Die Sophos Email Appliance (SEA) und UTM RED-Geräte werden derzeit untersucht. Weitere Informationen werden hinzugefügt, sobald sie verfügbar sind. Sophos WiFi Access Points (AP) sind nicht betroffen und erfordern keine Aktionen.

Sophos Schutz vor Meltdown- und Spectre-Exploits

Gegenwärtig gibt es drei Sicherheitslücken, die mit dem Kernel-Speicherleck verbunden sind:

    CVE-2017-5753
    CVE-2017-5715
    CVE-2017-5754

Derzeit sind keine schädlichen Bedrohungen bekannt, die diese Sicherheitslücken ausnutzen. Sophos hat Schutz veröffentlicht, um sich vor zukünftigen Ereignissen zu schützen. Dieser Schutz wird weiterhin aktualisiert.

Bedrohung

Sophos IDE

Schutz-Verfügbarkeit

 

Veröffentlichung gestartet

Veröffentlichung abgeschlossen

Mal/Spectre-B

zbot-lvw.ide

2018-01-05 00:20 UTC

2018-01-05 02:23 UTC

Mal/Spectre-C

zbot-lvw.ide

2018-01-05 00:20 UTC

2018-01-05 02:23 UTC

Mal/Spectre-D

zbot-lvw.ide

2018-01-05 00:20 UTC

2018-01-05 02:23 UTC

Mal/Spectre-E

netwi-md.ide

2018-01-05 06:58 UTC

2018-01-05 09:00 UTC

OSX/Spectre-B

netwi-md.ide

2018-01-05 06:58 UTC

2018-01-05 09:00 UTC

Mal/Spectre-A

age-axyx.ide

2018-01-05 18:31 UTC

2018-01-05 20:34 UTC

JS/Spectre-A

pdfu-dwf.ide

2018-01-06 07:35 UTC

2018-01-06 09:37 UTC

Mal/Meltdown-A

msilk-al.ide

2018-01-06 12:33 UTC

2018-01-06 14:36 UTC

Mal/Meltdown-B

msilk-al.ide

2018-01-06 12:33 UTC

2018-01-06 14:36 UTC